1. 引言
随着网络的发展以及信息技术不断迭代更新,我们每个人信息存储的载体越来越多。在不断地写入、提交各种个人信息时,泄露的风险也在增加,次生的可能危及到我们人身及财产安全风险也在无形中形成。因此,为了遏制侵犯公民个人信息的态势,保护公民人身信息安全,《中华人民共和国刑法》(以下简称《刑法》)也进行相应规定。最初增设条款见于2009年通过的《刑法修正案(七)》,在《刑法》第253条第1款增设了“出售、非法提供公民个人信息罪和非法获取公民个人信息罪”。为了适应和完善规制该类行为之需要,2015年《刑法修正案(九)》将该罪调整为“侵犯公民个人信息罪”。在2017年,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)则对侵犯公民个人信息罪的具体适用进行规定,帮助司法人员在个案中进行准确的判断。以《解释》实行日期为节点,分别往前往后以一周年的时长进行案件数量检索,可以得出如下案件数量对比的表格,见下文图1。1
Figure 1. Diagram of the number of first instance cases of crime of infringing citizens’ personal information
图1. 侵犯公民个人信息罪一审案件数量图
通过图中案件数量对比,我们不难看出案件数量在《解释》出台后三年内都呈上升趋势。而最近两年,对于侵犯公民个人信息罪的裁判书数量又开始明显下降。对于前三年该类案件数量上升的原因,或是出于司法人员基于一些加快落实该解释的政策性要求,但不可否认《解释》对司法人员对个案判断也起到较好指导作用。而对于最近两周年的下降趋势,笔者认为这是司法实践人员经过前期训练,对于侵犯公民个人信息罪有了更为准确的把握,对于罪与非罪之认定有了更详细的认知,从而对该罪判决更为谨慎,因此出现稍有下降之趋势。虽然《解释》已经颁布实施五年有余,但笔者研究发现,目前相关司法判决仍存在一些适用不当现象。
2. “情节特别严重”具体指标适用仍有模糊
经过笔者对最近发布的判决书分析,目前仍有部分判决书没有正确地把握《解释》中对“情节严重”“情节特别严重”二者的适用,从而在判决书裁判说理部分未能准确对被告人犯罪具体情节进行准确评价。如李某侵犯公民个人信息案中,被告人李某从他人处购买20个小区的业主信息,共12,543条。2其中含公民电话的信息4168条;含公民姓名、电话的信息3489条;含公民姓名、电话、面积的信息965条;含公民姓名、电话、房号、面积的信息3259条;含公民房号、面积、姓名、电话、身份证号的信息662条。法院认定“情节特别严重”的依据是《解释》第5条第2款第3项,即“数量或者数额达到前款第3项至第8项规定标准十倍以上的”。
从被告所购买信息总体数量来看,确实达到了“情节特别严重”的十倍数量要求,但与“情节严重”适用各项细则所要求数量进行对比可见,该案中的每一类个人信息并没有达到任一项的十倍数量要求。理由如下:① 该数量无法适用《解释》第5条第1款第8项,虽然被告是房地产公司工作人员,但被告在本案中获取的业主信息是通过微信从他人处购买所得,并非来自被告履行职责或者提供服务过程中获得;② 该数量无法适用前款规定第7项,因为本案中没有指出被告因此获利数额;③ 该数量也不适用前款规定第5项之“第3、4项规定以外的个人信息五千条以上”,因为本案被告非法获取信息总数不符合十倍要求;④ 该数量不满足前款规定第4项“非法获取住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的”十倍要求,因为除去仅有公民电话信息以及姓名和电话信息外,其余非法获取信息数量不足以认定为“情节特别严重”;⑤ 经过上述排除,该数量仅能适用前款规定第3项“非法获取行踪轨迹信息、通信内容、征信信息、财产信息”50条以上,或者前款规定第6项“数量未达到第3项至第5项规定标准,但是按相应比例合计达到有关数量标准的”。对于第3项,本案中与财产有当然联系的公民个人信息则是业主的姓名、电话、房号、面积、身份证号信息,但不能直接认为这些信息就属于“财产信息”。公民个人信息事关公民财产,越重要的个人信息越需要得到保护,相应的保护力度也应该越大。按照这个逻辑倒推,保护力度越大的信息,其重要性也越大。由于该项数额要求仅为50条,达到这个数额就构成“情节严重”,从而认定犯罪成立。在具体适用上必须对这类信息内涵进行严格的限定,否则容易造成打击面过大的不良后果。
本案中,与财产有牵连的个人信息分为三类,其种类和数量分别是“含公民姓名、电话、面积965条”“含公民姓名、电话、房号、面积的信息3259条”“含公民姓名、电话、房号、面积、身份证信息662条”。如果将这些数量合计,无疑是达到了10倍数量,即“情节特别严重”要求。但笔者认为,这些信息并非都符合财产信息严格限定的个人信息范畴。本案中的财产信息,主要是针对业主的房屋财产信息,房子作为不动产,其地址信息是一个房屋财产信息相当关键的因素,如果不能明确公民房屋的地址,我们很难认为仅靠房屋的房号、面积或者公民的身份证对公民财产造成威胁。侵犯公民个人信息罪所保护的个人信息,是指能实现对公民个人情况的识别,被非法利用时可能对公民个人生活和安宁构成损害和威胁的信息 [1] 。可能会有观点认为,本案中涉及到的业主信息也显示出某个小区的具体名字,通过“百度地图”等地图软件进行搜索,可以知晓该小区的地址,再结合非法获取的业主信息,也可能危害到本案被害者的个人人身、财产安全。但此时是另行通过网络获取了该小区的信息,该信息并非是被告通过非法途径获取的,不能将其归入被告非法获取的信息范围内。此外,“百度地图”这类地图软件所公布的信息是软件用户都能正常搜索获取的信息,先不论其信息公布之合理性如何,就用户使用该app获取信息的方式而言,笔者认为该方式也难以归入“非法获取”之范畴。
从判决来看,如果审判员选择适用《解释》第5条第2款第3项所述的“十倍”基准也并非上文提及的第1款第3项,那么只能以该条第1款第6项“数量未达到第3项至第5项规定标准,但是按相应比例合计达到有关数量标准的”来认定。但经过笔者检索,目前侵犯公民个人信息罪的刑事判决书中,侵犯公民个人信息罪案件极少数会明确适用该项司法解释。
3. “按相应比例合计达到有关数量标准”规定适用较少
对于《解释》第5条第1款第6项司法解释在具体实践中适用案例数量偏低现象,笔者认为可能是以下几种原因:① 第1款其他几项规定能满足大部分案件适用,因此大部分案件不需要适用该项规定;② 该项规定难以在具体案件中适用,因此大部分案件不选择适用该项规定。
3.1. 原因分析
对于上述原因①,在具体个案中被告人所侵害信息数量,或者违法所得数额往往较大,如钟燕飞、罗玉龙侵犯公民个人信息案中被告所非法获取个人信息中,有2447条交易信息,2.6万余条个人信息;3而李某侵犯公民个人信息案所涉及个人信息数量更是多大8100万余条;4解某某、辛某某等人侵犯公民个人信息案中每名被告违法所得数额均超过5万元。5对于这一类侵犯的公民个人信息数量已经明显达到情节严重标准的案件,可以直接根据《解释》第5条第1款所直接列明数量、数额标准定罪量刑。
对于原因②之分析,我们需要先明确该款第6项规定与前几项规定的结构关系。根据个人信息敏感程度,《个人信息保护法》将公民个人信息分为一般个人信息和敏感个人信息,而《解释》在定罪量刑标准上虽然没有直接采取这个分类概念,但其具体内容上仍做出了与《个人信息保护法》一致区分方式,即:“行踪轨迹信息、通信内容、征信信息、财产信息”作为最严格保护的一类,犯罪嫌疑人非法获取、出售或者提供的数量达到50条即可构成“情节严重”;“住宿信息、通信记录、健康生理信息、交易信息等”足以影响人身、财产安全的公民个人信息作为第二重要等级保护,数量达到500条视为“情节严重”;除了前面两大类信息以外的其他个人信息,数量需要达到5000条才能构成“情节严重”。当具体个案中,涉案个人信息数量无法满足这以上三种数量标准时,方能适用“按比例合计达到有关数量标准”这一项。从作用以及结构布置来看,该项无疑是前三中情形的“兜底条款”,是立法者为防止行为人逃漏法网而在列举具体行为方式、手段之后所做概括性规定 [2] 。
从适用范围上看,该项解释有更大适用范围。现实生活中个人信息往往是各种各样,比如一张快递面单上可能就包含了自然人姓名、电话、地址,一次酒店入住记录就需要记录下自然人的姓名、电话、身份证号以及人脸等信息。而具体个案中,行为人为了尽可能获取更多的个人信息,不会局限在某一种信息渠道,因而最终获取的个人信息往往呈多样化。这些信息种类不尽相同,该款解释前几项皆是针对某一敏感等级的个人信息,而该项入罪门槛并没有对个人信息敏感等级进行单一限制,理应有更大适用范围。
适用该项的案件数量并不多,笔者认为,这可能是实践中司法人员难以准确把握比例换算。有学者指出,这种折算方法根据该条第1款第3项至第5项的入罪数量标准,呈“1:10:100”的比例,即1条高度敏感信息可以折算为10条重要敏感信息,当行为人只是非法获取了470条重要敏感信息和3条高度敏感的信息,可以将3条高度敏感信息包容评价为30条高度敏感信息,从而能将该犯罪情节评价为“情节严重” [3] 。对于危害性较大的信息,视为危害性较小的信息并没有违反当然解释原理,因此我们认为高度敏感信息是可以降级折算的,这也符合第6项的立法目的。提出该观点的学者另外指出:如果将危害性较低的信息换算成危害性较高的信息,则对被告不利 [3] 。从行为人犯罪的具体内容来看,这种从低危险性折算到高危险性的做法的确对被告不利。但从最终入罪标准的“情节严重”的认定结果来看,两种折算方向其实都不会误判行为人的犯罪情节。
因为在第6项的规定下,“情节严重”判断标准变成了一个具体且固定的数值,而不同敏感度的信息数量成为了一条公式上不同的参数,他们有固定的比例进行折算。不能达到“情节严重”标准的,无论何种折算方式都无法达到该数量标准,而实质上能达到“情节严重”标准的,采取何种折算方式都可以达到该数量标准。假设某一案件涉及20条高度敏感信息、200条重要敏感信息和200条一般敏感信息,此时无法通过按任一种比例折算的办法进行入罪。如果一个案件涉及20条高度敏感信息、200条重要敏感信息和1000条一般敏感信息,此时则可以通过比例折算进行入罪,并且无论是将较高的敏感信息数量按上述比例折算入较低的敏感信息数量,还是将较低的敏感信息数量折算入较高的敏感信息数量,最后所得的结果即“犯罪情节达到‘情节严重’数量标准”的结论并不会变。这也是第6项规定采取固定比例的折算方式形成的必然结果。司法实践中,实务人员只需要对照该标准进行填充和折算,就能直接获得情节严重与否的结果,对于打击犯罪而言无疑是极为便利的。
3.2. 按比例折算存在弊端
但这个方法也可能出现一些不利于被告的情形。因为“情节严重”的成立只取决于折算后的个人信息数量是否满足相应数量标准,而不是看行为人具体所侵害的信息类型与数量。如行为人甲非法获取的信息主要是一般敏感信息,只有极少数是重要敏感信息,任一种都不能单独满足入罪数量要求,经过折算恰好构成“情节严重”;行为人乙非法获取的信息绝大部分是重要敏感信息,少数为一般敏感信息,单独一种信息数量未达到入罪数量标准,经过折算也恰好构成“情节严重”。此时二者都算是刚达到入罪门槛。对于这两个案件,如果仅从最终的“情节严重”结果来看,法院可能会作出相近甚至同样的判决,而这对于行为人甲来说则明显不利,这也同样不利于司法人员在具体个案中实现精确量刑。为了避免这种情形,在最终量刑时审判人员应该以“情节严重”成立的量刑范围作为基准,结合行为人所非法获取的具体个人信息种类作出恰当区分。例如,在案件都构成“情节严重”前提下,主要侵害高度敏感信息案件的最终量刑要重于主要侵害重要敏感信息案件,主要侵害重要敏感信息的案件最终量刑要重于主要侵害一般敏感信息案件。在这种裁判路径下,不需要禁止将较低敏感度的信息数量折算为较高敏感度的信息,因为最终折算所得情节严重程度是一致的,裁判人员只需要针对行为人具体侵害的信息敏感程度作出合理量刑区分,这样在保证效率同时,也能实现个案中的精确量刑。
具体实践中,该类案件运用到折算方法进行定罪量刑案件较为少见。目前笔者能检索到的只有上文所提的钟燕飞、罗玉龙侵犯公民个人信息案有明确适用折算方法。该案中,被告钟燕飞非法提供的交易信息数量为2447条,其他个人信息数量为2.6万余条。交易信息在本案中是较高敏感信息,其他个人信息则是较低敏感信息,将本案涉及的信息数量按照“1:10”的比例折算,确实能够达到“情节特别严重”数量标准。但裁判书上并没有写明是如何折算,只是写“根据《解释》第5条对不同信息按相应比例合计计算之规定,其行为已构成情节特别严重”作为被告入罪理由。而且由于适用该折算方法来定罪量刑的案件数量不多,尚未能明确目前审判人员对于折算方法能否做到结合具体案件情节来量刑。
4. 侵犯公民个人信息罪在具体实践中一般不认为构成共犯
《解释》第5条第1款第2项规定,行为人若知道他人用该信息犯罪,向其提供或者出售信息的,则构成情节严重,成立侵犯公民个人信息罪。这一项规定则可能牵涉到共同犯罪的认定问题。
4.1. 学理分析与实务做法存在区别
学界有观点认为,此时的共同犯罪应该分成两种处置办法:一是成立想象竞合犯,当行为人出售或者提供的信息行为本身已经符合“情节严重”标准,此时已经可以认定成立侵犯公民个人信息罪,如果行为人提供信息时明知他人将用该信息犯罪,他人事后也确实利用该信息实施了犯罪,那么行为人与他人构成相应犯罪的共同犯罪,对行为人按想象竞合犯从一重罪处理;如果行为人出售或提供信息行为本身尚不符合“情节严重”标准,但提供时明知他人利用该信息犯罪的,事后虽然他人实施了犯罪,但只能根据他人实行行为认定行为人成立相应的共犯 [4] 。笔者认为,这个观点的第二种处置办法忽视了《解释》第5条第1款第2项的基本含义,根据该项规定,只要行为人知道他人利用信息实施犯罪,在此前提下行为人向其出售或者提供信息,此时行为人提供信息的行为本身就可以根据该项解释认定为“情节严重”,继而成立犯罪。在该项规定下,不存在行为人提供了信息成立共犯但不成立侵犯公民个人信息罪的情形。
笔者较为赞同的观点是,可以根据双方意思联络程度分为三种共同犯罪情形:片面共犯、“心照不宣”的共犯6以及有共谋共犯,前两种类型皆按照侵犯公民个人信息罪处理,第三种则可能构成侵犯公民个人信息罪与被提供信息的第三人所实施犯罪的想象竞合犯 [5] 。而落实到司法实践层面,不需要区分他们的共谋程度如何,只需要明确二者是否存在共谋即可。
具体个案中往往不将提供或者出售信息的行为人认定为共犯,仅以侵犯公民个人信息罪论处。笔者认为原因有二,一是证明上较难证明行为人对他人犯罪的主观心态是“知道或者应当知道”;二是我国现行刑法框架下,还需另外证明行为人对于他人利用信息所实施犯罪之犯罪结果的主观方面须为故意或间接故意。
4.2. 实务中证明成立共犯的难度较高
在司法实践中,要证明行为人“可能知道”他人用该信息实施犯罪较为可行,但要证明行为人“知道或者应当知道”他人用该信息实施犯罪则比较困难。而“可能知道”与“知道或者应当知道”二者概念不能当然等同,因此实践中也是将二者做出了明确区分。如邓强辉、林松明等诈骗案中,审判人员最终也只能认为本案被告之一梁定志是有“明知邓强辉可能(将个人信息)用于电信诈骗”的主观心态,仍向邓强辉出售公民信息,但最终判决梁定志只构成侵犯公民个人信息罪。7与之相似的还有曾引起社会广泛关注的“徐玉玉案”,本案中审判人员无法认为被告人杜天禹对陈某利用个人信息实施诈骗是“明知或者应当知道”,仅在杜天禹的个人供述中承认自己对陈某将利用个人信息实施非法活动的心理态度是“有所怀疑”,显然难以据此认为被告人杜天禹提供个人信息时对他人将利用该信息实施犯罪是“知道或应当知道”的态度。因此,最终杜天禹被判仅构成侵犯公民个人信息罪。在现行规定下,具体个案要证明行为人提供信息时对他人犯罪的心态是“知道或者应当知道”比较难,因为客观的证据能证明被告人知道“他人‘可能’将个人信息用于犯罪”已经实属不易,如果要将证明内容提升到“知道或者应当知道他人(一定)将个人信息用于犯罪”有些难以实现。
我国现行刑法对于共同犯罪的规定是“二人以上共同故意犯罪”,同时也明文规定不承认共同过失犯罪。因此,提供或出售个人信息的行为人与他人要成立共同犯罪,在主观上不能都是过失,必须为故意。笔者认为此处故意不限于直接故意,也包含间接故意。如果《刑法》第25条之“故意”仅指直接故意,具体到实践中,则要证明出售或提供个人信息的行为人对于他人利用该信息所实施犯罪之犯罪结果是“希望发生”的。而实务中行为人在供述中往往不会承认自己对该结果是“希望发生”态度,客观证据材料也较难证明其主观达到“希望发生”程度,从而导致其主观上不符合“故意”的要求而认为不构成共同犯罪。在这个范围里,行为人提供或者出售个人信息给他人实施犯罪的情形基本都无法认定为共同犯罪,而这显然与立法目的相违背。
此外,《解释》第5条第1款第2项规定,提供或者出售个人信息的行为人主观方面“知道或者应当知道”,往往是针对“他人利用信息实施犯罪”这一事实的一种认知心态,而不是对他人实施犯罪所造成的“犯罪结果”的心理态度。而共同犯罪中需要分析的犯罪主观方面是双方对于“犯罪结果”的心理态度,二者不可等同。因此,要证明提供或者出售个人信息的行为人成立共同犯罪,不仅需要证明其对于“他人利用该信息实施犯罪”是“知道或者应当知道”,还需要证明其对于可能成立的共同犯罪之犯罪结果主观方面也是“故意”。如果不能证明行为人主观心态为“故意”,那么就无法认为其提供或者出售个人信息的行为能够与他人利用该信息实施犯罪的行为构成共同犯罪。这个证明内容在实务中也较难证明,因此目前的可能涉嫌共犯的侵犯公民个人信息案中,行为人往往最终仅被判构成侵犯公民个人信息罪一罪。
NOTES
1威科先行·法律信息库网,https://law.wkinfo.com.cn/,2023年4月28日访问。以《解释》实行日即2017年6月1日为节点,前一周年的时间段为2016年6月1日至2017年5月31日,后一周年的时间段为2017年6月1日至2018年5月31日,以此类推进行检索。
2参见陕西省西安市长安区人民法院(2022)陕0116刑初562号刑事判决书。
3参见钟燕飞、罗玉龙侵犯公民个人信息案,四川省泸州市龙马潭区人民法院(2017)川0504刑初330号刑事判决书。
4参见《最高人民检察院关于印发检察机关依法惩治侵犯公民个人信息犯罪典型案例的通知》。
5参见《最高人民检察院关于印发检察机关依法惩治侵犯公民个人信息犯罪典型案例的通知》。
6此处“心照不宣”是指提供公民个人信息的行为人明知自己在帮助具体实行者,而具体实行者也明知在接受提供公民个人信息行为人的帮助,但双方没有通谋的情形。
7参见四川省泸州市纳溪区人民法院(2019)川0503刑初90号刑事判决书。